Internationaler Datenaustausch: Die neuen EU-Standarddat ... / 3 Anwendung und Auslegung

Die Klauseln 2 bis 8 enthalten allgemeine Bestimmungen über Anwendung und Auslegung, die für alle Module gelten:

• Die Standardvertragsklauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksame Rechtsbehelfe.
• Die Parteien können die Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
• Wenn andere Vereinbarungen den Standardklauseln widersprechen, haben letztere Vorrang.
• Die Klauseln sind im Sinn der Bestimmungen der DSGVO auszulegen.
• Betroffene Personen, Drittbegünstigte genannt, können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, wobei es bestimmte Ausnahmen gibt.
• Dritte können dem Vertrag, in dem die Klauseln vereinbart werden, mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten (freiwillige Klausel 7).
• Der Datenexporteur untersucht im Rahmen des Zumutbaren, ob der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, seinen Pflichten aus diesen Klauseln nachkommen kann.

3.1 Grundsätzliche Datenschutzverpflichtungen

Die grundlegenden Verpflichtungen in Klausel 8.1 bis 8.9. sind im Prinzip für alle Module gleich.

Die Parteien verpflichten sich die Grundsätze des Datenschutzes einzuhalten wie Zweckbindung, Transparenz, Richtigkeit und Datenminimierung, Sicherheit der Verarbeitung, sowie Speicherbegrenzung, d. h. der Datenimporteur speichert die personenbezogenen Daten nur so lange, wie es für die Zwecke erforderlich ist. Für sensible Daten wendet der Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien an, die an die spezifische Art der Daten und die damit verbundenen Risiken angepasst sind.

Der Datenimporteur darf die personenbezogenen Daten nur unter bestimmten Bedingungen an Dritte weitergeben, die in demselben Land wie der Datenimporteur oder in einem anderen Drittland außerhalb der Europäischen Union ansässig sind, z. B. an Länder für die ein Angemessenheitsbeschluss nach Art. 45 DSGVO gilt.

In allen Modulen sichern die Parteien nach Klausel 14 zu, keinen Grund zur Annahme zu haben, dass lokale Datenvorschriften im Bestimmungsdrittland den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Zur Ermittlung der Auswirkungen lokaler Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln kann man für die Gesamtbeurteilung auf einschlägige und dokumentierte praktische Erfahrungen zurückgreifen.

Wichtig: Die Parteien müssen die Einhaltung der SDK nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

3.2 Verstöße gegen die Klauseln und Beendigung des Vertrags

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, die SDK einzuhalten (Klausel 16). Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde, bei Modul drei auch den Verantwortlichen, über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit es die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

• der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde
• der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
• der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

Nach Beendigung des Vertrages müssen bei den Modulen Eins bis Drei personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt auch für alle Kopien der Daten. Bei Modul 4 müssen von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, unverzüglich vollständig gelöscht werden, einschließlich aller Kopien.

In Bezug auf Haftung gilt nach Klausel 12:

Für die Module Eins und Vier: Jede Partei haftet gegenüber der anderen Partei für Sc...